Глава 1. Введение
1.1. Настоящая Политика является документом, определяющим политику ООО «Байкал Норд» в отношении обработки персональных данных (далее – ПДн).
1.2. Оператором, организующими осуществляющим обработку ПДн, является ООО «Байкал Норд».
1.3. Настоящая Политика является открытым документом и предназначена для ознакомления неограниченным кругом лиц.
1.4. Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.5. В Политике определены перечень субъектов ПДн, ПДн которых обрабатываются Оператором, цели обработки ПДн, условия обработки ПДн и их передачи третьим лицам, права субъектов ПДн, а также иные вопросы, связанные с обработкой Оператором ПДН.
1.6. Настоящая Политика подлежит официальному опубликованию в информационно-телекоммуникационной сети «Интернет» на сайте ООО «Байкал Норд» по адресу https://baikal-nord.ru
1.7. Сбор персональных данных производится с использованием Яндекс.Метрики
Глава 2. Общие положения
2.1. Целью настоящей Политики является обеспечение обработки ПДн в соответствии с требованиями законодательства Российской Федерации в сфере защиты ПДн, обеспечение безопасности ПДн, обрабатываемых Оператором, от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.
2.2. Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных неправомерных действий.
2.3. При обработке ПДн Оператор придерживается следующих принципов:
1) соблюдение законности получения, обработки, хранения, а также иных действий, совершаемых с ПДн;
2) обработка ПДн исключительно в законных целях;
3) хранение ПДн, обработка которых осуществляется с не связанными между собой целями, в различных базах данных;
4) сбор только тех ПДн, которые минимально необходимы для достижения заявленных целей обработки;
5) выполнение мер по обеспечению безопасности ПДн, их точности, достаточности и других характеристик при обработке и хранении;
6) соблюдение прав субъекта ПДн на доступ к его ПДн;
7) соблюдение требований по уничтожению либо обезличиванию ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
2.4. Оператором принятие решений на основании исключительно автоматизированной обработки ПДн, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не производится.
Глава 3. Обрабатываемые ПДн
3.1. Информационные системы персональных данных (далее - ИСПДн), принадлежащие Оператору, предназначены для обработки ПДн:
1) лиц, состоящих в трудовых отношениях с органами местного самоуправления города Иркутска (муниципальных служащих и (или) работников органов местного самоуправления города Иркутска, замещающих должности, не являющиеся должностями муниципальной службы, на основании трудового договора (далее - служащие)), в том числе бывших работников;
2) лиц, связанных со служащими, чьи данные необходимо обрабатывать в соответствии с трудовым и иным законодательством (для выплаты алиментов по решению суда, в целях заполнения унифицированной формы № Т-2 «Личная карточка работника» в соответствии с трудовым законодательством и т.д.);
3) граждан Российской Федерации, иностранных граждан, в том числе несовершеннолетних детей и их законных представителей (родителей, приемных родителей и опекунов);
4) контрагентов (представителей организаций, физических лиц, индивидуальных предпринимателей), с которыми заключены муниципальные контракты (договоры).
3.2. Под обработкой ПДн Оператором понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
3.3. Оператором не допускается обработка ПДн, касающихся:
1) расовой и национальной принадлежности;
2) политических взглядов;
3) религиозных и философских убеждений;
4) интимной жизни.
3.4. Обработка Оператором ПДн о судимости допускается только в случаях и в порядке, которые определяются в соответствии с федеральными законами Российской Федерации.
3.5. Обработка Оператором ПДн о состоянии здоровья допускается только в случаях, установленных федеральными законами Российской Федерации, или с письменного согласия субъекта ПДн.
3.6. Оператор осуществляет обработку ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
Глава 4. Цели обработки ПДн, обработка ПДн
4.1. Цели обработки ПДн Оператором определены в соответствии с законодательством Российской Федерации, Уставом Общества. Обработка ПДн осуществляется для достижения следующих целей:
- идентификации Пользователя, зарегистрированного на сайте, для оформления услуг и и (или) заключения Договора на оказание услуг;
- предоставления Пользователю доступа к персонализированным ресурсам Сайта Общества;
- установления с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся оказания услуг, обработка запросов и заявок от Пользователя;
- подтверждения достоверности и полноты персональных данных, предоставленных Пользователем;
- уведомления Пользователя Сайта https://baikal-nord.ru/ о подтверждении бронирования;
- обработки и получения платежей, подтверждения налога или налоговых льгот, оспаривания платежа и других финансовых операций;
- предоставления Пользователю с его согласия специальных предложений, информации о ценах, новостной рассылки и иных сведений от имени Общества;
- осуществления рекламной деятельности с согласия Пользователя.
4.2. Обработка ПДн Оператором осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ.
4.3. Обработка ПДн Оператором происходит как неавтоматизированным, так и автоматизированным способом.
4.4. К обработке ПДн допускаются только лица из числа работников Общества, прошедшие определенную процедуру допуска, к которой относятся:
1) ознакомление работника под роспись с локальными нормативными актами Оператора (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с ПДн;
2) взятие с работника подписки о соблюдении конфиденциальности в отношении ПДн при работе с ними, а также при прекращении обработки ПДн, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора;
3) получение раотником и использование в работе индивидуальных атрибутов доступа к информационным системам (далее - ИС) Оператора, содержащих ПДн. При этом каждому работнику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в ИСПДн.
4.5. Работники получают доступ только к тем ПДн, которые необходимы им для выполнения конкретных трудовых функций.
Глава 5. Хранение ПДн
5.1. Оператор хранит ПДн в бумажном и электронном виде. В электронном виде ПДн хранятся в ИСПДн, а также в архивных копиях баз данных этих ИСПДн.
5.2. При хранении ПДн соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ПДн. К ним относятся:
1) назначение работника, ответственного за обработку ПДн;
2) назначение служащего, ответственного за обеспечение безопасности ПДн в ИСПДн;
3) применение утвержденной и поддерживаемой в актуальном состоянии организационно-распорядительной документации;
4) организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, ограничение физического доступа к техническим средствам ИСПДн, средствам защиты информации, средствам обеспечения функционирования, местам хранения и носителям ПДн;
5) утверждение Оператором документов, определяющих перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
6) учет всех информационных систем и электронных носителей, а также архивных копий;
7) применение сертифицированных средств защиты информации и средств криптографической защиты информации (далее - СКЗИ).
5.3. Места хранения носителей ПДн, порядок хранения, учета, уничтожения и предоставления доступа к ним регламентируются внутренними документами Оператора.
Глава 6. Передача ПДн
6.1. Для целей обработки данных Оператор может передавать ПДн исключительно своим работникам и третьим лицам, подписавшим личное обязательство по обеспечению конфиденциальности и безопасности полученных сведений.
6.2. Передача ПДн третьим лицам возможна в исключительных случаях только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо, когда такая обязанность у Оператора наступает в результате требований федерального законодательства Российской Федерации или при поступлении запроса от уполномоченных государственных органов.
6.3. При передаче ПДн в электронном виде третьим лицам по открытым каналам связи Оператор обеспечивает все необходимые меры по защите передаваемой информации в соответствии с требованиями действующего законодательства Российской Федерации в области защиты ПДн.
6.4. ООО «Байкал Норд» в соответствии с Федеральным законом № 152-ФЗ осуществляется трансграничная передача ПДн. Обработку ПДн, в отношении которых осуществляется или предполагается трансграничная передача ПДн, осуществляет отдел протокола и международной деятельности аппарата администрации города Иркутска.
Глава 7. Поручение обработки ПДн
7.1. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн (в согласие включаются: наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора), если иное не предусмотрено Федеральным законом № 152-ФЗ. При этом в поручении Оператор определяет перечень действий (операций) с ПДн и цели их обработки, устанавливает обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, выполнять требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона № 152-ФЗ, обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения требований поручения Оператора, а также указывает требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона № 152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ.
7.2. Лицо, осуществляющее обработку ПДн по поручению, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством. В случае поручения обработки ПДн другому лицу Оператор несет ответственность перед субъектом ПДн за действия указанного лица.
Глава 8. Уничтожение ПДн
8.1. Под уничтожением ПДн понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
8.2. Оператор обязуется прекратить обработку ПДн и в сроки, установленные законодательством Российской Федерации, уничтожить собранные ПДн, если иное не установлено законодательством Российской Федерации, в следующих случаях:
1) по достижении целей обработки ПДн или при утрате необходимости в их достижении;
2) по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3) при отзыве субъектом ПДн согласия на обработку своих ПДн, если такое согласие требуется в соответствии с законодательством Российской Федерации;
4) при невозможности устранения Оператором допущенных в соответствии с Федеральным законом № 152-ФЗ нарушений при обработке ПДн.
8.3. Уничтожение персональных данных, обрабатываемых без использования средств автоматизации, оформляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 года № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (далее – приказ № 179) актом об уничтожении персональных данных.
8.4. Уничтожение персональных данных, обрабатываемых с использованием средств автоматизации, оформляется в соответствии с приказом № 179 актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
Глава 9. Защита ПДн, внутренний контроль и оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона № 152-ФЗ
9.1. Обеспечение безопасности ПДн у Оператора достигается следующими мерами:
1) введением системы защиты ПДн;
2) назначением служащего, ответственного за организацию обработки ПДн;
3) назначением служащего, ответственного за обеспечение безопасности ПДн в ИСПДн (администратора безопасности ИСПДн), а также ответственного пользователя криптосредств и лица, ответственного за выявление и реагирование на инциденты информационной безопасности;
4) проведением аудита ИСПДн Оператора, содержащих ПДн, определением требуемого уровня защищенности ПДн, обрабатываемых в ИСПДн и класса защищенности муниципальных информационных систем Оператора;
5) определением типа угроз безопасности ПДн и разработкой Модели угроз безопасности ПДн при их обработке в ИСПДн;
6) утверждением документа, определяющего перечень лиц, доступ которым к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
7) организацией режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
8) обеспечением сохранности носителей ПДн, а также обеспечением учета машинных носителей ПДн;
9) определением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
10) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
11) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
12) разработкой и утверждением локальных нормативных актов Оператора, регламентирующих порядок обработки ПДн, а также разработкой для пользователей и ответственных лиц рабочих инструкций;
13) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн, обрабатываемых в ИСПДн;
14) проведением периодического обучения и ознакомления работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику ООО «Байкал Норд» в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;
15) реализацией технических мер, снижающих вероятность реализаций угроз безопасности ПДн, при помощи сертифицированных средств защиты информации и СКЗИ;
16) проведением периодических проверок (внутреннего контроля) состояния защищенности ИСПДн Оператора и законодательства Российской Федерации о персональных данных, служащим ответственным за организацию обработки ПДн.
9.2. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона № 152-ФЗ осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой Оператором в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 года № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Глава 10. Согласие субъекта ПДн на обработку его ПДн
10.1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.
10.2. Согласие на обработку ПДн может быть отозвано субъектом ПДн.
10.3. Согласие на обработку ПДн дается субъектом ПДн или его представителем по типовой форме согласия на обработку персональных данных субъектов персональных данных, являющейся приложением к решению единственного учредителя «О реализации отдельных мер по защите персональных данных в ООО «Байкал Норд», если иное не установлено законодательством.
10.4. Требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
10.5. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн.
10.6. В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.
10.7. В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
10.8. ПДн могут быть получены Оператором от лица, не являющегося субъектом ПДн, при условии предоставления Оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.
Глава 11. Права субъекта ПДн
11.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к ПДн может быть ограничено в соответствии с федеральными законами.
11.2. В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:
1) подтверждение факта обработки ПДн;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые Оператором способы обработки ПДн;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн своих прав;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ;
11) иные сведения, предусмотренные настоящим Федеральным законом № 152-ФЗ или другими федеральными законами.
11.3. Получить указанную информацию субъект ПДн может, обратившись с письменным запросом к Оператору. Содержание запроса должно соответствовать требованиям части 3 статьи 14 Федерального закона № 152-ФЗ. Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 дней.
Глава 12. Обязанности Оператора, лица, ответственного за организацию обработки ПДн
12.1. Оператор обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ. Оператор обязан предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона 152-ФЗ.
12.2. При сборе ПДн Оператор обязуются по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в пункте 49 настоящей Политики. В случае если предоставление ПДн и (или) получение Оператором согласия является обязательным в соответствии с Федеральным законом № 152-ФЗ, оператор обязуются разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
12.3. Если ПДн получены не от субъекта ПДн, Оператор до начала обработки таких ПДн обязуются предоставить субъекту ПДн сведения, касающиеся обработки его ПДн, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона № 152-ФЗ. В случаях если ООО «Байкал Норд» не является оператором ПДн, полученных от субъектов ПДн, обязанность по предоставлению субъекту ПДн соответствующих сведений возлагается на оператора ПДн, от которого эти данные получены.
12.4. Оператор при обработке ПДн обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн, описание которых приведено в настоящем положении.
12.5. Оператор обязуется отвечать на запросы субъектов ПДн, их представителей, а также уполномоченного органа по защите прав субъектов ПДн касательно обрабатываемых ПДн в соответствии с требованиями законодательства.
12.6. В случае предоставления субъектом ПДн либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, Оператор обязуется устранить данные нарушения или обеспечить их устранение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней и уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах.
12.7. Оператор выполняет обязанности по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению персональных ПДн, предусмотренные статьей 21 Федерального закона № 152-ФЗ.
12.8. Оператор обязуется, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона № 152-ФЗ, уведомлять уполномоченный орган по защите прав субъектов ПДн:
1) об обработке (о намерении осуществлять обработку) ПДн, изменении сведений, указанных в уведомлении, или о прекращении обработки ПДн по формам, определенным приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 года № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных»;
2) об установление факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, включая успешно реализованные компьютерные атаки на информационную инфраструктуру повлекшей нарушение прав субъектов персональных данных обрабатываемых в ИСПДн в срок, предусмотренный частью 3.1 статьи 21 Федерального закона № 152-ФЗ;
3) о своем намерении осуществлять деятельность по трансграничной передаче персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных.
12.9. Уведомление уполномоченного органа по защите прав субъектов ПДн об обработке (о намерении осуществлять обработку) ПДн, изменении сведений, указанных в уведомлении, или о прекращении обработки ПДн, а также установлении фактов нарушений обработки ПДн осуществляет лицо, организующее обработку ПДн, или иное лицо, определенное приказом Генерального Директора Общества.
12.10. Лицо, ответственное за организацию обработки ПДн, выполняет следующие должностные обязанности, которые подлежат включению в его должностную инструкцию:
1) осуществляет внутренний контроль за соблюдением требований законодательства Российской федерации при обработке ПДн Оператора, в том числе требований к защите персональных данных;
2) доводит до сведения работников Оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
3) организует прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов;
4) выполняет иные обязанности, возложенные на него федеральными законами и принятыми в соответствии с ними нормативными правовыми актами Российской Федерации, муниципальными правовыми актами города Иркутска, регламентирующими вопросы обработки ПДн.
Глава 13. Ответственность
13.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн в ООО «Байкал Норд» привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.
Глава 14. Изменение Политики
14.1. Оператор имеет право вносить изменения в настоящую Политику.
14.2. Новая редакция Политики подлежит размещению в информационно-телекоммуникационной сети «Интернет» по адресу: https://baikal-nord.ru/policy-opd
